Како послати евиденције Линука на удаљени сервер

Главни разлог за примену даљинског евидентирања је исти разлог због којег се препоручује наменска / вар партиција: питање простора, али не само. Слањем евиденција на наменски уређај за складиштење можете спречити да дневници заузимају сав простор, а истовремено задржавају огромну историјску базу података како би приуштили грешке.

Отпремање евиденција на удаљени хост омогућава нам да централизујемо извештаје за више уређаја и да задржимо резервну копију извештаја ради истраживања у случају да нас нешто спречи да локално приступимо евиденцијама.

Овај водич приказује како поставити удаљени сервер за хостовање дневника и како их слати са клијентских уређаја и како класификовати или поделити дневнике у директоријуме према клијентском хосту.

Да бих следио упутства можете да користите виртуелни уређај, узео сам бесплатни ВПС од Амазон-а (ако вам је потребна помоћ око подешавања Амазон уређаја, на њему се налази сјајан наменски садржај на ЛинукХинт-у на хттпс: // линукхинт.цом / цатегори / авс /). Имајте на уму да се јавна ИП адреса сервера разликује од његове интерне ИП адресе.

Пре почетка:

Софтвер који се користи за даљинско слање дневника је рсислог, он се подразумевано испоручује на Дебиан-у и изведеним Линук дистрибуцијама, у случају да га немате покренут:

# судо апт инсталл рсислог

Стање рсислог увек можете проверити покретањем:

# судо сервице рсислог статус

Као што видите статус на снимку екрана је активан, ако ваш рсислог није активан, увек га можете покренути покретањем:

# судо сервице рсислог старт

Или

# системцтл старт рсислог

Белешка: За додатне информације о свим опцијама за управљање услугама Дебиан провјерите Зауставите, покрените и поново покрените услуге на Дебиану.

Покретање рсислог-а тренутно није релевантно, јер ћемо га морати поново покренути након уношења неких промена.

Како послати евиденције Линука на удаљени сервер: на страни сервера

Пре свега, на серверу уредите датотеку / етц / ресислог.цонф користећи нано или ви:

# нано / етц / рсислог.цонф

Унутар датотеке откажите коментар или додајте следеће редове:

модул (лоад = "имудп")
улаз (типе = "имудп" порт = "514")
модул (лоад = "имтцп")
улаз (типе = "имтцп" порт = "514")

Изнад смо некоментарисали или додали пријеме дневника путем УДП-а и ТЦП-а, можете дозволити само један од њих или оба, кад се једном коментаришу или додају, мораћете да уредите правила заштитног зида како бисте дозволили долазне евиденције и омогућили пријем евиденција путем ТЦП покретања:

# уфв дозвољава 514 / тцп

Да бисте омогућили долазне евиденције кроз покретање УДП протокола:

# уфв дозволи 514 / удп

Да бисте омогућили и ТЦП и УДП, покрените две наредбе изнад.

Белешка: за више информација о УФВ можете прочитати Рад са Дебиан заштитним зидовима (УФВ).

Поново покрените рсислог услугу покретањем:

# судо сервице рсислог рестарт

Сада наставите на клијенту да конфигурише евиденције слања, а затим ћемо се вратити на сервер да побољшамо формат.

Како послати евиденције Линука на удаљени сервер: страна клијента

У евиденцији слања клијента додајте следећи ред, замењујући ИП 18.223.3.241 за ИП вашег сервера.

*.* @@ 18.223.3.241: 514

Изађите и сачувајте промене притиском на ЦТРЛ + Кс.

Једном уређено, поново покрените рсислог услугу покретањем:

# судо сервице рсислог рестарт

На страни сервера:

Сада можете да проверите евиденције унутар / вар / лог, приликом њиховог отварања приметићете помешане изворе за свој дневник, следећи пример приказује евиденције из Амазоновог интерног интерфејса и из Рсислог клијента (Монтсегур):

Зум то јасно показује:

Мијешање датотека није угодно, у наставку ћемо уредити рсислог конфигурацију како бисмо раздвојили евиденције према извору.

Да бисте разликовали евиденције унутар директоријума са именом клијентског хоста, додајте следеће редове на сервер / етц / рсислог.цонф да упути рсислог како да сачува удаљене дневнике, како би то урадио у рсислог-у.цонф додајте редове:

$ темплате РемотеЛогс, "/ вар / лог /% ХОСТНАМЕ% /.Пријава"
*.* ?РемотеЛогс
& ~

Изађите из чувања промена притиском на ЦТРЛ + Кс и поново покрените рсислог на серверу:

# судо сервице рсислог рестарт

Сада можете да видите нове директоријуме, зване ип-172.31.47.212 који је АВС интерни интерфејс и други који се назива „монтсегур“ попут рсислог клијента.

У директоријумима можете пронаћи евиденције:

Закључак:

Даљинско евидентирање нуди одлично решење проблема који може срушити услуге ако се складиште сервера напуни евиденцијама, као што је речено на почетку, такође је неопходно у неким случајевима у којима систем може бити озбиљно оштећен без омогућавања приступа дневницима , у таквим случајевима удаљени сервер за евиденцију гарантује сисадмин приступ историји сервера.

Примена овог решења је технички прилично једноставна, па чак и бесплатна, с обзиром да нису потребни велики ресурси, а бесплатни сервери попут АВС бесплатних слојева су добри за овај задатак, ако повећате брзину преноса дневника, можете да дозволите само УДП протокол (упркос губитку поузданости). Постоје неке алтернативе Рсислогу-у попут: Флуме или Сентри, али рсислог остаје најпопуларнији алат међу Линук корисницима и сисадминима.

Надам се да вам је овај чланак о слању дневника Линука на удаљени сервер био користан.